【安全资讯】黑客利用未修补的漏洞获取了赫尔辛基市教育部门大量信息，影响了超过80,000名学生及其监护人

赫尔辛基市正在调查其教育部门的数据泄露事件，该事件于 2024 年 4 月下旬发现，影响了数万名学生、监护人和工作人员。

尽管有关袭击的信息已于2024年5月2日传播，但该市当局在今天早些时候的新闻发布会上分享了更多细节。

根据今天披露的详细信息，未经授权的行为者在利用远程访问服务器中的漏洞后获得了对网络驱动器的访问权限。

虽然官员们没有说明针对的是哪种远程访问产品，但他们分享说，在攻击发生时，该漏洞的安全补丁可用，但尚未安装。

访问的驱动器包含数千万个文件，其中大多数没有个人身份信息 （PII）。尽管如此，其中一些还包括用户名、电子邮件地址、个人 ID 和实际地址。

此外，暴露的驱动器包含有关费用、儿童教育和护理、儿童状况、福利请求、医疗证明和其他高度敏感信息的信息。

“这是一次非常严重的数据泄露事件，可能会给我们的客户和人员带来不幸的后果。我们对这种情况深感遗憾，”城市经理Jukka-Pekka Ujula评论道。

“考虑到现在和前几年该市服务的用户数量，在最坏的情况下，这次数据泄露影响了超过80,000名学生及其监护人。

“违规行为还影响了我们所有人员，因为肇事者可以访问所有人员的用户名和电子邮件地址。”

由于暴露的数据量很大，调查被泄露的内容预计需要一些时间。

与此同时，赫尔辛基市已相应地通知了数据保护监察员、警方和Traficom的国家网络安全中心。

在此阶段，受影响的人不需要联系警方，但被要求向“[email protected]”或“+358 9 310 27139”报告任何可疑通信，并遵循Traficom向数据泄露受害者提供的建议。

在撰写本文时，没有勒索软件组织对攻击负责，因此肇事者仍然未知。